Home

Tunnel Cifrato SSH per Proxy

Submitted by blackms on Sun, 01/01/2006 - 01:00

Per prima cosa passiamo ad elencare il materiale che ci serve:
- Per Linux
1) SSH (solitamente già installato)
2) Un browser che supporto proxy (ormai tutti :)

- Per Windows
1)OpenSSH Windows version
2)Un browser che supporto proxy (ormai tutti :)

Dal lato server:
Squid Cache Server

Iniziamo spiegando il funzionamento:

PC =================== PROXY <-> Web Sites
Queste trasmissioni
sono in chiaro.

PC ====== SNIFFER ==== PROXY <-> Web Sites
Lo sniffer cattura
le trasmissioni.

Chi legge i dati sniffati, può tranquillamente sapere
tutto ciò che facciamo nonostante il Proxy, ed è
a questo punto che interveniamo noi.

PC |||||| SNIFFER |||||| PROXY <-> Web Sites
Queste trasmissioni
sono cifrate con SSH

Passiamo all'atto pratico.

Andiamo sul nostro server (che ovviamente non deve essere
all'interno della nostra LAN), ed installiamo squid.

http://www.squid-cache.org/
squid-2.5.STABLE8 prendiamo questa versione.

[root@0lab root]# cd /usr/src
[root@0lab SOURCES]# wget
http://www.squid-cache.org/Versions/v2/2.5/squid-2.5.STABLE8.tar.gz
[root@0lab SOURCES]# tar zxvf squid-2.5.STABLE8.tar.gz
[root@0lab SOURCES]# cd squid-2.5.STABLE8
[root@0lab squid-2.5.STABLE8]# ./configure –enable-ssl
[root@0lab squid-2.5.STABLE8]# make && make install
[root@0lab squid-2.5.STABLE8]# cd /usr/local/squid/etc/
Editiamo squid.conf in piccolissima parte il resto lo lasciamo di
default, a noi non interessa per quello che dobbiamo fare.

Cerchiamo le righe di http_access, ed eliminiamo:
“http_access deny !Safe_portsâ€
Bloccherebbe l'accesso da/a porte diverse da quelle elencate
Safe_ports nelle acl list, cioè quelle non SSL.
Salviamo il file ed avviamo squid. Controlliamo se squid è
avviato e binda la porta 3128:

[root@0lab etc]# squid
[root@0lab etc]# pidof squid
4913
[root@0lab etc]# netstat -pl |grep squid
tcp 0 0 *:squid *:*
LISTEN 4915/(squid)
udp 0 0 *:32773 *:*
4915/(squid)
udp 0 0 *:icpv2 *:*
4915/(squid)

Se vi visualizza i seguenti risultati (ovviamente con pid ecc.
Differenti), singnifica che squid è avviato
correttamente, passiamo alla configurazione del client.

Avviamo Internet Explorer o simili, ed impostiamo come proxy
server:

127.0.0.1 porta 6666 (la porta la potete scegliere voi basta che
la mettiate uguale al momento del lancio di ssh per il forwarding).

Dopo di che avviamo il Prompt di MS-Dos e, dopo aver installato
OpenSSH for Windows, digitiamo la seguente riga:

ssh -L 6666:proxy.org:3128 proxy.org -l pippo

Esamimiamo la riga
ssh -L 6666 (imposta la porta su cui ascoltare in locale, e deve
essere identica a quella settata su Internet Explorer).
:proxy.org (l'host o l'ip del server sui cui ascolta squid).
:3128 (la porta di ascolto di squid).
proxy.org (nuovamente l'host o l'ip su cui abbiamo installato
squid).
-l pippo (l'username di accesso, e vi sarà richiesta anche
la password – non utilizzate root per motivi di sicurezza
– se non ne avete uno diverso da root ne create uno,
serve solo per accedere).

In questo modo il forwarding delle porte remote è
attivo, non resta altro che navigare. :)

Saluti
blackms

________________

""